Polityka prywatności

W skrócie

Administratorem twoich danych jest DROPP-X Daniel Jędrzejak — polska firma z NIP 5140359181. To my decydujemy po co i jak przetwarzamy twoje dane.
Zbieramy tylko to, co potrzebne do realizacji zamówień, obsługi konta, wysyłki i — jeśli zgodzisz się — do marketingu. Nic ponad to.
Twoje dane przekazujemy tylko tym partnerom, którzy są nam potrzebni do realizacji zamówień (Shopify, InPost, operatorzy płatności, biuro rachunkowe) albo do działania sklepu (Google, Meta — tylko za twoją zgodą).
Masz 8 praw dotyczących swoich danych — m.in. dostęp, poprawienie, usunięcie, przenoszenie, sprzeciw. Jak z nich skorzystać, napisz na kontakt@reeve.pl.
Nie sprzedajemy twoich danych nikomu. Nigdy.

1. Administrator danych

Administratorem twoich danych osobowych w rozumieniu art. 4 pkt 7 RODO jest:

DROPP-X Daniel Jędrzejak
Mostki 8, 63-507 Mostki, Polska
NIP: 5140359181
REGON: 523672677

Telefon: +48 884 698 898 (pn-nd 8:00-20:00)
Email: kontakt@reeve.pl

Prowadzimy sklep internetowy pod marką REEVE (reeve.pl), obsługiwany na platformie Shopify.

2. Inspektor Ochrony Danych

Nie wyznaczyliśmy Inspektora Ochrony Danych, ponieważ nasza działalność nie spełnia warunków z art. 37 RODO, które nakazują wyznaczenie IOD.

We wszystkich sprawach związanych z ochroną danych osobowych kontaktuj się bezpośrednio z administratorem: kontakt@reeve.pl.

3. Jakie dane zbieramy

Zbieramy tylko dane niezbędne do tego, żeby sklep działał. Konkretnie:

Dane zamówienia — imię i nazwisko, adres dostawy, adres rozliczeniowy, email, numer telefonu, numer zamówienia, lista produktów, kwota, metoda płatności (samej płatności nie przetwarzamy — robi to operator płatności).
Dane faktury (opcjonalnie) — nazwa firmy, NIP, adres do faktury, jeśli poprosisz o fakturę VAT.
Dane konta klienta (opcjonalnie) — email, hasło (przechowywane jako hash, nie widzimy go), preferencje komunikacji, historia zamówień, lista ulubionych.
Dane kontaktowe — treść wiadomości, email lub numer telefonu, kiedy piszesz lub dzwonisz do nas.
Dane z newslettera — email i zgoda, jeśli zapiszesz się na newsletter.
Dane z recenzji — treść recenzji, imię, ocena, jeśli napiszesz opinię o produkcie (poprzez Judge.me).
Dane techniczne i analityczne — adres IP, typ przeglądarki, system operacyjny, strony, które oglądałeś, czas spędzony w sklepie, źródło wejścia. Zbieramy je tylko wtedy, kiedy wyrazisz zgodę w bannerze cookies.
Dane z reklamacji i zwrotów — dane potrzebne do obsługi twojego zgłoszenia (numer zamówienia, opis problemu, numer konta do zwrotu).

Nie zbieramy tzw. szczególnych kategorii danych (danych o zdrowiu, pochodzeniu, poglądach politycznych, danych biometrycznych) — nie są nam potrzebne i świadomie ich unikamy.

4. Po co i na jakiej podstawie prawnej

Zgodnie z art. 13 RODO mamy obowiązek powiedzieć ci po co przetwarzamy twoje dane, na jakiej podstawie prawnej i jak długo je trzymamy. Poniżej mapka:

4.1. Realizacja zamówień i dostawa

Dane: imię, nazwisko, adres, email, telefon, produkty, kwota.
Podstawa: art. 6 ust. 1 lit. b RODO (wykonanie umowy kupna-sprzedaży).
Okres: przez czas realizacji zamówienia oraz przez 6 lat po niej (termin przedawnienia roszczeń cywilnych, art. 118 Kodeksu cywilnego).

4.2. Wystawianie faktur i obowiązki księgowe

Dane: dane fakturowe (imię/firma, adres, NIP), dane transakcji.
Podstawa: art. 6 ust. 1 lit. c RODO (obowiązek prawny — ustawa o rachunkowości, ustawa o VAT).
Okres: 5 lat od końca roku podatkowego, w którym powstał obowiązek podatkowy (art. 86 § 1 Ordynacji podatkowej).

4.3. Obsługa konta klienta

Dane: email, hash hasła, preferencje, historia zamówień.
Podstawa: art. 6 ust. 1 lit. b RODO (umowa o świadczenie usług drogą elektroniczną — konto w sklepie).
Okres: do momentu usunięcia konta przez ciebie + 3 lata archiwizacji dla celów obrony przed ewentualnymi roszczeniami.

4.4. Obsługa zwrotów i reklamacji

Dane: dane zamówienia, numer konta bankowego (do zwrotu), opis zgłoszenia.
Podstawa: art. 6 ust. 1 lit. b RODO (wykonanie umowy) i art. 6 ust. 1 lit. c RODO (obowiązki ustawowe — ustawa o prawach konsumenta, Kodeks cywilny).
Okres: 6 lat od zakończenia sprawy (termin przedawnienia roszczeń).

4.5. Kontakt (telefon, email, formularz)

Dane: email, telefon, treść wiadomości.
Podstawa: art. 6 ust. 1 lit. f RODO (nasz uzasadniony interes — udzielenie odpowiedzi na twoje zgłoszenie).
Okres: do 2 lat od ostatniego kontaktu, chyba że sprawa wymaga dłuższego trzymania (np. reklamacja — wtedy 6 lat jak w 4.4).

4.6. Newsletter

Dane: email, ewentualnie imię.
Podstawa: art. 6 ust. 1 lit. a RODO (twoja zgoda) + art. 10 ustawy o świadczeniu usług drogą elektroniczną.
Okres: do cofnięcia zgody (link „Wypisz się" jest w każdym mailu).

4.7. Recenzje produktów

Dane: imię, email, treść recenzji (obsługiwane przez Judge.me).
Podstawa: art. 6 ust. 1 lit. a RODO (twoja zgoda — podajesz dane dobrowolnie).
Okres: tak długo, jak recenzja jest opublikowana; możesz poprosić o usunięcie w dowolnym momencie.

4.8. Analityka strony (Google Analytics)

Dane: anonimizowany adres IP, zachowania na stronie, źródło wejścia, urządzenie.
Podstawa: art. 6 ust. 1 lit. a RODO (twoja zgoda wyrażona w bannerze cookies). Bez zgody działa tylko podstawowa, anonimowa analityka.
Okres: do 14 miesięcy (standard GA4).

4.9. Marketing i reklama (Meta Pixel, Google Ads)

Dane: anonimizowany adres IP, zachowania na stronie, konwersje, identyfikatory reklamowe.
Podstawa: art. 6 ust. 1 lit. a RODO (twoja zgoda wyrażona w bannerze cookies).
Okres: do cofnięcia zgody lub do 24 miesięcy (zależy od platformy).

4.10. Zapobieganie oszustwom i bezpieczeństwo sklepu

Dane: adres IP, dane urządzenia, dane transakcji.
Podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes — ochrona sklepu i klientów przed oszustwami).
Okres: do 12 miesięcy.

4.11. Dochodzenie i obrona przed roszczeniami

Dane: wszystkie dane zebrane w związku z twoimi zamówieniami i kontaktem.
Podstawa: art. 6 ust. 1 lit. f RODO (uzasadniony interes — ochrona przed roszczeniami).
Okres: do upływu terminu przedawnienia (standardowo 6 lat).

5. Skąd mamy twoje dane

Bezpośrednio od ciebie — kiedy składasz zamówienie, zakładasz konto, piszesz do nas, zapisujesz się na newsletter, wystawiasz recenzję.
Automatycznie z twojego urządzenia — adres IP, typ przeglądarki, informacje o sesji. Większość tych danych zbieramy tylko po twojej zgodzie w bannerze cookies.
Od naszych partnerów — np. jeśli zalogowałeś się w naszym sklepie przez konto Google albo Shop Pay, te platformy przekazują nam email i podstawowe dane profilu.

6. Komu przekazujemy twoje dane

Dzielimy się twoimi danymi tylko z podmiotami, które są nam potrzebne do prowadzenia sklepu. Większość z nich jest związana z nami umową powierzenia przetwarzania danych (art. 28 RODO) i przetwarza twoje dane wyłącznie w zakresie, jaki im wyznaczamy.

Osobno traktujemy operatorów płatności (Klarna, Przelewy24) — kiedy wybierasz ich metodę płatności, zawierasz z nimi odrębną umowę, a oni stają się niezależnymi administratorami twoich danych (nie naszymi procesorami).

6.1. Infrastruktura sklepu

Shopify Inc. (siedziba: Kanada, z serwerami też w USA) — platforma, na której działa sklep. Shopify jest procesorem naszych danych i podlega RODO przez Data Protection Addendum.

6.2. Operatorzy płatności

Obsługujemy płatności przez Shopify Payments. W zależności od wybranej przez ciebie metody płatności, twoje dane mogą trafić do jednego z poniższych operatorów:

Shopify Payments (Shopify Inc.) — obsługa kart (Visa, Mastercard, American Express, Maestro, UnionPay), Apple Pay, Google Pay, Shop Pay oraz BLIK. Shopify Payments działa jako operator płatności zgodny z normami PCI-DSS. Nie przechowujemy numerów kart ani kodów BLIK.
Klarna Bank AB (Szwecja) — jeśli wybierzesz płatność odroczoną Klarna, zawierasz z Klarna osobną umowę o usługi finansowe. Klarna staje się odrębnym administratorem twoich danych w zakresie obsługi tej płatności. Warunki przetwarzania danych przez Klarna znajdziesz w ich polityce prywatności.
PayPro S.A. / Przelewy24 (ul. Pastelowa 8, 60-198 Poznań, Polska) — jeśli wybierzesz szybki przelew przez Przelewy24, zawierasz z PayPro umowę o pośrednictwo finansowe. PayPro jest odrębnym administratorem twoich danych w zakresie obsługi przelewu. Warunki przetwarzania danych znajdziesz w polityce prywatności Przelewy24.

6.3. Dostawa

InPost S.A. (Polska) — obsługa Paczkomatów i Kuriera InPost. Przekazujemy imię, nazwisko, adres dostawy, telefon i email (do powiadomień o paczce).

6.4. Księgowość i faktury

Zewnętrzne biuro rachunkowe, z którym współpracujemy na podstawie umowy o świadczenie usług księgowych (umowa zawiera klauzule powierzenia przetwarzania danych). Biuro ma dostęp do danych fakturowych i transakcyjnych w celu prowadzenia księgowości DROPP-X.

6.5. Recenzje

Judge.me (Kanada) — system recenzji produktów. Przekazujemy email klientów, którzy kupili produkt, żeby aplikacja mogła wysłać prośbę o recenzję.

6.6. Analityka i marketing (tylko za twoją zgodą)

Google Ireland Limited (Irlandia, z transferami do Google LLC w USA) — Google Analytics 4, Google Ads.
Meta Platforms Ireland Limited (Irlandia, z transferami do Meta Platforms Inc. w USA) — Meta Pixel, Facebook Ads, Instagram Ads.
Shopify Email (Shopify Inc.) — narzędzie do wysyłki newsletterów i maili marketingowych.

6.7. Podmioty uprawnione z mocy prawa

W uzasadnionych przypadkach możemy przekazać twoje dane organom publicznym (policja, prokuratura, sąd, urząd skarbowy, UOKiK), jeżeli zostaną do tego uprawnione na podstawie obowiązujących przepisów.

6.8. Czego NIE robimy

Nie sprzedajemy twoich danych. Nie udostępniamy ich w celach marketingowych firmom, z którymi nie mamy umowy. Nie przekazujemy ich brokerom danych ani agencjom reklamowym poza wymienionymi wyżej narzędziami.

7. Transfery danych poza Europejski Obszar Gospodarczy (EOG)

Niektóre z naszych narzędzi (Shopify, Google, Meta, Judge.me) przetwarzają dane także poza EOG — głównie w USA i Kanadzie. Takie transfery są zgodne z RODO dzięki jednemu z poniższych mechanizmów:

Decyzja Komisji Europejskiej o adekwatności dla Kanady — Shopify Inc. i Judge.me (firmy kanadyjskie) działają w kraju, który Komisja uznała za zapewniający odpowiedni poziom ochrony danych osobowych.
EU-US Data Privacy Framework — Shopify, Google i Meta są certyfikowanymi uczestnikami programu EU-US Data Privacy Framework (na podstawie decyzji Komisji Europejskiej 2023/1795 z 10 lipca 2023 r.), co legalizuje transfer danych do USA.
Standardowe klauzule umowne (SCC) — jako dodatkowe zabezpieczenie stosujemy (wraz z naszymi partnerami) standardowe klauzule umowne zatwierdzone przez Komisję Europejską (decyzja wykonawcza 2021/914).

Operatorzy płatności (Klarna, Przelewy24, Shopify Payments — w zakresie BLIK i kart) oraz InPost działają w granicach EOG — te transfery nie wychodzą poza obszar objęty RODO.

Kopię odpowiednich zabezpieczeń możesz dostać na prośbę — napisz na kontakt@reeve.pl.

8. Twoje prawa

RODO daje ci 8 praw dotyczących twoich danych osobowych. Każde z nich możesz wykonać kontaktując się z nami na kontakt@reeve.pl.

Prawo dostępu (art. 15 RODO) — możesz zapytać jakie dane o tobie mamy, w jakim celu je przetwarzamy, komu przekazujemy. Dostaniesz też kopię swoich danych.
Prawo do sprostowania (art. 16 RODO) — jeśli twoje dane są nieprawidłowe lub niekompletne, możesz poprosić o ich poprawienie.
Prawo do usunięcia / „prawo do bycia zapomnianym" (art. 17 RODO) — możesz poprosić o usunięcie twoich danych. Zrobimy to, chyba że musimy je trzymać z mocy prawa (np. faktury — 5 lat).
Prawo do ograniczenia przetwarzania (art. 18 RODO) — możesz poprosić, żebyśmy tylko przechowywali twoje dane, ale ich nie używali w żaden aktywny sposób (np. kiedy kwestionujesz ich prawidłowość).
Prawo do przenoszenia danych (art. 20 RODO) — możesz dostać swoje dane w czytelnym formacie (np. JSON, CSV) i przenieść je do innego administratora.
Prawo do sprzeciwu (art. 21 RODO) — możesz sprzeciwić się przetwarzaniu danych, które odbywa się na podstawie naszego uzasadnionego interesu (pkt 4.5, 4.10, 4.11). Sprzeciw wobec marketingu jest absolutny — zawsze go uwzględniamy bez pytania o powód.
Prawo do cofnięcia zgody (art. 7 ust. 3 RODO) — jeśli przetwarzamy dane na podstawie twojej zgody (pkt 4.6, 4.7, 4.8, 4.9), możesz ją cofnąć w dowolnym momencie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, które miało miejsce przed cofnięciem.
Prawo do wniesienia skargi do organu nadzorczego — jeśli uważasz, że naruszyliśmy RODO, możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

Jak skorzystać: napisz na kontakt@reeve.pl, opisz z czego chcesz skorzystać. Odpowiadamy w ciągu 30 dni (w wyjątkowych przypadkach do 90 dni — powiadomimy cię).

Żeby potwierdzić, że to faktycznie ty, możemy poprosić o dodatkowe informacje (np. numer zamówienia, datę ostatniego zakupu). To standardowy wymóg RODO chroniący przed podszywaniem się.

9. Pliki cookies i podobne technologie

Ta sekcja stanowi naszą pełną politykę plików cookies. Opisuje, jakie pliki cookies i podobne technologie używamy w reeve.pl, w jakim celu i przez jaki czas są przechowywane.

9.1. Czym są pliki cookies

Pliki cookies to małe pliki tekstowe zapisywane w twojej przeglądarce podczas odwiedzania stron internetowych. Służą do różnych celów — od utrzymania sesji (żebyś nie musiał się ciągle logować), przez zapamiętanie zawartości koszyka, po mierzenie skuteczności reklam.

Oprócz klasycznych cookies używamy też podobnych technologii: pixeli śledzących (np. Meta Pixel), local storage, session storage. Wszystkie traktujemy w tej polityce łącznie jako „cookies".

9.2. Podstawa prawna

Cookies niezbędne — art. 173 ust. 3 Prawa telekomunikacyjnego (zwolnienie z obowiązku uzyskania zgody, bo są konieczne do świadczenia usługi, o którą prosisz).
Cookies funkcjonalne, analityczne i marketingowe — art. 173 ust. 1 Prawa telekomunikacyjnego + art. 6 ust. 1 lit. a RODO (twoja zgoda wyrażona w bannerze).

9.3. Kategorie cookies, które używamy

A. Cookies niezbędne (zawsze aktywne)

Konieczne, żeby sklep działał. Bez nich nie można kupić, zalogować się ani utrzymać koszyka. Nie pytamy o zgodę na nie, bo prawo tego nie wymaga.

_shopify_y (Shopify, do 1 roku) — identyfikator sesji klienta.
_shopify_s (Shopify, sesja) — identyfikator sesji przeglądarki.
_secure_session_id (Shopify, sesja) — bezpieczna sesja dla checkoutu.
cart (Shopify, 2 tygodnie) — zawartość koszyka.
cart_ts, cart_ver, cart_sig (Shopify, 2 tygodnie) — metadane koszyka.
_shopify_country, localization (Shopify, sesja) — twój kraj i język.
_tracking_consent, _cmp_a, _cmp_v (Shopify, 1 rok) — zapis twojej decyzji w bannerze cookies.
keep_alive (Shopify, 2 tygodnie) — utrzymanie sesji dla bezpieczeństwa.

B. Cookies funkcjonalne (wymagają zgody)

Pomagają spersonalizować sklep — zapamiętać twoje preferencje, ostatnio oglądane produkty.

_orig_referrer (Shopify, 2 tygodnie) — źródło, z którego przyszedłeś do sklepu.
_landing_page (Shopify, 2 tygodnie) — pierwsza strona, na której wylądowałeś.
_s (Shopify, sesja) — dodatkowe dane sesji.

C. Cookies analityczne (wymagają zgody)

Mierzą, jak korzystasz ze sklepu — co oglądasz, ile czasu spędzasz, skąd przyszedłeś. Na ich podstawie poprawiamy sklep.

_shopify_sa_p, _shopify_sa_t (Shopify Analytics, do 30 minut) — atrybucja marketingowa.
_ga, _ga_XXXX (Google Analytics 4, do 2 lat) — unikalny identyfikator użytkownika.
_gid (Google Analytics, 24 godziny) — rozróżnianie użytkowników.

D. Cookies marketingowe (wymagają zgody)

Używane do personalizacji reklam — w sklepie i poza nim (Facebook, Instagram, Google).

_fbp (Meta Pixel, 90 dni) — identyfikator użytkownika dla Facebook Ads.
_fbc (Meta Pixel, 90 dni) — identyfikator kliknięcia w reklamę Meta.
_gcl_au (Google Ads, 90 dni) — atrybucja konwersji w Google Ads.

E. Cookies operatorów płatności i recenzji

Ustawiane bezpośrednio przez naszych partnerów kiedy korzystasz z ich usług:

Judge.me — cookies sesji do obsługi widgetu recenzji (różne okresy).
Shopify Payments / Klarna / Przelewy24 — cookies ustawiane podczas checkoutu i autoryzacji płatności. Zasady ich przetwarzania określają polityki prywatności odpowiednich operatorów.

9.4. Jak zarządzać zgodą na cookies

Przy pierwszej wizycie w reeve.pl zobaczysz banner z trzema opcjami: „Zaakceptuj wszystkie", „Odrzuć wszystkie", „Zarządzaj preferencjami". Twoja decyzja jest zapisywana na 1 rok.

Żeby zmienić decyzję później — w stopce sklepu znajdziesz link „Zarządzaj plikami cookies", który otwiera panel preferencji. Możesz włączać i wyłączać kategorie indywidualnie.

Dodatkowo możesz zarządzać cookies na poziomie przeglądarki. Instrukcje dla najpopularniejszych:

Uwaga: wyłączenie cookies niezbędnych uniemożliwi działanie sklepu (logowanie, koszyk, płatności). Wyłączenie pozostałych kategorii jest bezpieczne — stracisz tylko personalizację i precyzję pomiaru.

10. Profilowanie i zautomatyzowane decyzje

Kiedy wyrazisz zgodę na pliki cookies marketingowe, Google i Meta mogą profilować twoje zachowanie na stronie (np. jakimi produktami się interesujesz), żeby pokazywać ci dopasowane reklamy w swoich sieciach reklamowych.

Nie podejmujemy wobec ciebie zautomatyzowanych decyzji wywołujących skutki prawne (w rozumieniu art. 22 RODO) — żadne algorytmy nie decydują samodzielnie o tym, czy przyjmiemy twoje zamówienie, czy rozpatrzymy reklamację. Każdą taką decyzję podejmuje człowiek.

Masz prawo sprzeciwić się profilowaniu w celach marketingowych — zrobisz to cofając zgodę w Centrum preferencji prywatności albo pisząc na kontakt@reeve.pl.

11. Dane dzieci

Sklep REEVE nie jest skierowany do dzieci. Świadomie nie zbieramy danych osób poniżej 16. roku życia.

Jeśli jesteś rodzicem lub opiekunem i podejrzewasz, że twoje dziecko przekazało nam swoje dane bez twojej zgody, napisz na kontakt@reeve.pl — usuniemy te dane niezwłocznie.

12. Bezpieczeństwo danych

Traktujemy bezpieczeństwo twoich danych poważnie. Stosujemy zarówno techniczne, jak i organizacyjne środki ochrony:

Szyfrowanie połączenia HTTPS/TLS na całej stronie.
Hasła przechowywane w postaci zaszyfrowanego hashu (nigdy w formie czytelnej).
Dostęp do panelu administracyjnego tylko dla upoważnionych osób, chroniony uwierzytelnieniem dwuskładnikowym (2FA).
Infrastruktura po stronie Shopify, który spełnia normy bezpieczeństwa PCI-DSS Level 1 i SOC 2 Type II.
Regularne przeglądy uprawnień i dostępów.
Umowy powierzenia przetwarzania danych z każdym procesorem.

Żadne zabezpieczenia nie są nieprzeniknione — jeśli wykryjemy naruszenie ochrony danych, które może stwarzać ryzyko dla twoich praw lub wolności, powiadomimy ciebie oraz Prezesa UODO zgodnie z art. 33-34 RODO.

13. Zmiany polityki prywatności

Jeśli zmienią się nasze praktyki (np. dodamy nowe narzędzie, zmienimy okres retencji), zaktualizujemy tę politykę. Datę ostatniej aktualizacji znajdziesz na dole dokumentu.

O istotnych zmianach — takich, które wymagają twojej ponownej zgody lub wyraźnie wpływają na twoje prawa — powiadomimy cię mailem (jeśli masz u nas konto lub zapisałeś się na newsletter) z minimum 14-dniowym wyprzedzeniem.